को-विन डेटा उल्लंघन: स्वास्थ्य मंत्रालय का को-विन पोर्टल डेटा गोपनीयता के लिए सुरक्षा उपायों के साथ पूरी तरह सुरक्षित है

को-विन पोर्टल पर वेब एप्लिकेशन फ़ायरवॉल, एंटी-डीडीओएस, एसएसएल/टीएलएस, नियमित भेद्यता मूल्यांकन, पहचान और पहुंच प्रबंधन आदि जैसे पर्याप्त सुरक्षा उपाय मौजूद हैं
डेटा केवल ओटीपी प्रमाणीकरण के आधार पर उपलब्ध कराया जाता है
स्वास्थ्य मंत्रालय ने सीईआरटी-इन को डेटा उल्लंघन के मामले को देखने और इस पर एक रिपोर्ट प्रस्तुत करने को कहा है

कुछ सोशल मीडिया प्लेटफॉर्म पर देश में कोविड टीकाकरण कराने वाले लाभार्थियों के डेटा की चोरी (उल्लंघन) का दावा करने वाली कुछ मीडिया रिपोर्टें आई हैं। इन रिपोर्टों में केंद्रीय स्वास्थ्य मंत्रालय के को-विन पोर्टल से डेटा की चोरी होने का आरोप लगाया गया है। यह पोर्टल उन लाभार्थियों के सभी डेटा का भंडार है, जिन्हें कोविड-19 से बचने के लिए टीका लगाया गया है।

सोशल मीडिया प्लेटफॉर्म ट्विटर पर कुछ पोस्ट में दावा किया गया है कि टेलीग्राम (ऑनलाइन मैसेंजर एप्लिकेशन) बीओटी का उपयोग करके टीका लगवाने वाले लोगों के निजी डेटा तक पहुंचा जा रहा है। रिपोर्ट में यह बताया गया है कि बीओटी किसी लाभार्थी के मोबाइल नंबर या आधार नंबर का इस्तेमाल करके निजी डेटा हासिल करने में सक्षम है।

यह स्पष्ट किया जाता है कि ऐसी सभी रिपोर्ट बिना किसी आधार के और शरारती प्रकृति की हैं। डेटा गोपनीयता के लिए पर्याप्त सुरक्षा उपायों के साथ स्वास्थ्य मंत्रालय का को-विन पोर्टल पूरी तरह से सुरक्षित है। को-विन पोर्टल की सुरक्षा के लिए वेब एप्लिकेशन फ़ायरवॉल, एंटी-डीडीओएस, एसएसएल/टीएलएस, नियमित भेद्यता मूल्यांकन, पहचान और पहुंच प्रबंधन जैसे सुरक्षा उपाय मौजूद हैं। डेटा केवल ओटीपी प्रमाणीकरण के आधार पर उपलब्ध कराया जाता है। को-विन पोर्टल में डेटा की सुरक्षा सुनिश्चित करने के लिए सभी कदम उठाए गए हैं और उठाए जा रहे हैं।

स्वास्थ्य और परिवार कल्याण मंत्रालय ने कोविन को विकसित किया था और इसका स्वामित्व और प्रबंधन भी उसी के हाथ में है। कोविन के विकास को संचालित करने और नीतिगत मुद्दों पर निर्णय लेने के लिए टीकाकरण पर एक अधिकार प्राप्त समूह (ईजीवीएसी) का गठन किया गया था। राष्ट्रीय स्वास्थ्य प्राधिकरण (एनएचए) के पूर्व सीईओ ने ईजीवीएसी की अध्यक्षता की। इस समूह में स्वास्थ्य एवं परिवार कल्याण मंत्रालय (एमओएचएफडब्ल्यू) और इलेक्ट्रॉनिक्स एवं सूचना प्रौद्योगिकी मंत्रालय (एमईआईटीवाई) के सदस्य भी शामिल थे।

को-विन डेटा एक्सेस – वर्तमान में व्यक्तिगत स्तर पर टीकाकृत लाभार्थी डेटा एक्सेस तीन स्तरों पर उपलब्ध है, जैसा कि नीचे दिया गया है:

लाभार्थी डैशबोर्ड – जिस व्यक्ति को टीका लगाया गया है, वह ओटीपी प्रमाणीकरण के साथ पंजीकृत मोबाइल नंबर के उपयोग के माध्यम से को-विन डेटा तक पहुंच सकता है।

को-विन अधिकृत उपयोगकर्ता – पहले से प्रदान किए गए प्रामाणिक लॉगिन पहचान का उपयोग करते हुए टीकाकृत लाभार्थियों के व्यक्तिगत स्तर के डेटा तक पहुंच सकता है। लेकिन, कोविन सिस्टम इसे ट्रैक करता रहता है और हर बार अधिकृत उपयोगकर्ता के कोविन सिस्टम तक पहुंचने का रिकॉर्ड रखता है।

एपीआई आधारित एक्सेस – तीसरे पक्ष के एप्लिकेशन जिन्हें को-विन एपीआई की अधिकृत पहुंच प्रदान की गई है, वे केवल लाभार्थी ओटीपी प्रमाणीकरण के माध्यम से टीकाकृत लाभार्थियों के व्यक्तिगत स्तर के डेटा तक पहुंच सकते हैं।

टेलीग्राम बीओटी –

ओटीपी के बिना टीकाकृत लाभार्थियों के डेटा को किसी भी बीओटी के साथ साझा नहीं किया जा सकता है।
वयस्क टीकाकरण के लिए केवल जन्म का वर्ष (वाईओबी) दर्ज किया जाता है लेकिन ऐसा लगता है कि मीडिया पोस्ट पर यह दावा किया गया है कि बीओटी में भी जन्म तिथि (डीओबी) का उल्लेख है।
लाभार्थी का पता हासिल करने का कोई प्रावधान नहीं है।
कोविन की विकास टीम ने पुष्टि की है कि कोई भी सार्वजनिक एपीआई नहीं है जहां बिना ओटीपी के डेटा हासिल किया जा सके। उपरोक्त के अलावा, कुछ एपीआई हैं जिन्हें डेटा साझा करने के लिए आईसीएमआर जैसे तीसरे पक्ष के साथ जोड़ा गया है। रिपोर्ट में बताया गया है कि ऐसे ही एक एपीआई में आधार से जुड़े मोबाइल नंबर से कॉल करके डेटा साझा करने की सुविधा है। हालांकि, यह एपीआई भी बहुत विशिष्ट है और इसमें डेटा के लिए अनुरोध केवल एक विश्वसनीय एपीआई से स्वीकार किए जाते हैं जिसे को-विन एप्लिकेशन द्वारा श्वेत-सूचीबद्ध किया गया है।

केंद्रीय स्वास्थ्य मंत्रालय ने भारतीय कंप्यूटर आपातकालीन प्रतिक्रिया टीम (सीईआरटी-इन) से डेटा उल्लंघन के इस मुद्दे को देखने और इस पर एक रिपोर्ट प्रस्तुत करने का अनुरोध किया है। इसके अलावा, कोविन के मौजूदा सुरक्षा उपायों की समीक्षा के लिए एक आंतरिक अभ्यास शुरू किया गया है।

सीईआरटी-इन ने अपनी प्रारंभिक रिपोर्ट में बताया है कि टेलीग्राम बॉट का बैकएंड डेटाबेस कोविन डेटाबेस के एपीआई के साथ सीधे पहुंच नहीं बना रहा है।